Китайские и российские шпионские кампании все больше фокусируются на периферийных устройствах, таких как устройства VPN, межсетевые экраны, маршрутизаторы и инструменты. Интернет вещей (Интернет вещей). По данным охранной компании Google МандиантЭто результат тревожного роста числа шпионских атак. В ежегодном отчете о киберрасследованиях, проведенных в прошлом году, компания Mandiant подчеркнула эту новую тенденцию.

Изменение шпионской тактики

Второй Чарльз Кармакал, технический директор Mandiant, произошел значительный сдвиг в тактике, используемой китайскими и российскими хакерами-шпионами. В течение многих лет следователи инцидентов видели один и тот же подход: сотрудники подвергались фишинговым электронным письмам. содержащий вредоносное ПО что позволило бы хакерам проникнуть в систему.

Однако в прошлом году появился новый способ атаки: обнаружение уязвимостей нулевого дня в часто используемых устройствах. Кармакал говорит, что китайское правительство концентрирует свои усилия на разработке вредоносного ПО для периферийных устройств, посколькуИспользование вредоносного ПО на компьютерах Windows становится все более рискованным из-за решений Обнаружение конечных точек и реагирование (EDR) становится все более эффективным.

В Mandiant зафиксировано увеличение использования уязвимостей нулевого дня на 50% по сравнению с 2022 годом как шпионскими группами, так и финансовыми злоумышленниками. В случаях, рассмотренных Mandiant, 38% вторжений начались с использования эксплойтов, что на 6% больше, чем в предыдущем году, а 17% началось с фишинговых писем, что на 22% меньше. Третьим по распространенности способом доступа хакеров к системам было использование ранее взломанных систем для новых атак.

Важность предотвращения обнаружения

Второй Кармакал и Юрген Кучер, вице-президент по консалтингу MandiantИзменение тактики связано с тем, что хакеры-шпионы предпочитают избегать обнаружения. Проникновение через уязвимости позволяет хакерам оставаться внутри систем в течение более длительного периода времени, не будучи обнаруженными. Фишинговые письма легче обнаружить от решений безопасности. Однако время, которое хакеры тратят на скомпрометированные системы, прежде чем их обнаружат, известно как «время пребывания«, сократился до 10 дней, самого низкого значения за всю историю наблюдений, снижение на шесть дней по сравнению с 2022 годом.

Катшер подчеркивает важность тщательной программы поиска угроз и необходимость всестороннего расследования и устранения нарушений в случае взлома. Исследователи также обнаружили, что уязвимости нулевого дня больше не являются исключительно прерогативой поддерживаемых государством хакеров-шпионов. Все большее число преступных группировок используют эти уязвимости, о чем свидетельствуют атаки на передачу файлов. Подвинь это в 2023 году.

Уязвимости MOVEit и Barracuda

Исследователи Mandiant обнаружили, что российская группа вымогателей, известная как Clop, начала сканировать Интернет на наличие уязвимых экземпляров MOVEit за 12 дней до того, как начала красть данные более чем 2500 организаций по всему миру. После уязвимости MOVEit шпионские группы и преступники чаще всего использовали уязвимости, присутствующие в Oracle E-Business Suite и шлюз безопасности электронной почты Barracudaоба периферийных устройства.

В отчете Mandiant также есть несколько хороших новостей: компании стали лучше обнаруживать внутренние компрометации, а не получать информацию от самих хакеров или исследователей безопасности. Обнаружение внутренних нарушений в 2023 году увеличилось до 46% инцидентов, рассмотренных Mandiant, по сравнению с 37% в 2022 году.

Выводы

Шпионские кампании в Китае и России свидетельствуют об изменении используемой тактики и повышении внимания к периферийным устройствам. Эксплуатация уязвимостей нулевого дня и избежание обнаружения стали приоритетными целями для хакеров-шпионов. Однако этими уязвимостями пользуются не только поддерживаемые государством хакеры-шпионы, но и преступные группировки. Поэтому для компаний крайне важно принять тщательные программы поиска угроз и реализовать надежные меры безопасности для защиты своих периферийных устройств.

Источник статьи ВОЗ.